Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Business Applications
Intelligent Workplace
Pequeña y Mediana Empresa
Salud
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Ciudades Inteligentes
Sector Público
Moonlight Maze, el ¿primer? APT Group de la historia
Es el año 1996. Telefónica acaba de presentar InfoVía, un proyecto con el que te puedes conectar a algo llamado internet a través de tu teléfono marcando el 055. Ese internet en el que la World Wide Web se había publicado en el 93, en el que casi todo era diferente.
Porque, sí, las maniobras oscuras siempre han existido, y siempre existirán. En ese año 96, un par de grupos de ciberespionaje asociados (teóricamente) con las dos superpotencias del momento, Rusia y Estados Unidos, demostraban sin demasiado pudor lo sencillo que era campar a sus anchas por un mundo cibernético totalmente nuevo.
Mientras Equation Group y sus operaciones eran asociadas a la NSA, otro grupo (de hecho, el primero) dejaba poco rastro y obedecía a los intereses del otro actor global.
Este grupo, al que se suele catalogar como el primero de su especie, estuvo años sembrando el terror entre la administración estadounidense y sus agencias militares sin saber quiénes eran ni de dónde venían. En 1998 el FBI y el Departamento de Defensa (DoD) publicaron una investigación forense en el que encontraron evidencias que relacionaban al grupo con Rusia. Esto desembocó en una audiencia en el Congreso de los EEUU que lanzó al público la noticia (tengamos en cuenta lo novedoso de este tipo de información en aquel entonces).
Fuente: Kaspersky
Una revolución, eso fue la noticia. Era volver a las historias de espías de la guerra fría, pero en un espacio nuevo y atractivo como era el ciberespacio. Sin embargo, la novedad, por definición, es efímera. El tiempo pasó y este tipo de grupos empezó a hacerse más común, lo que, unido a la falta de avances de la investigación, acabó con ésta estancada y con sus archivos destruidos o perdidos. Se llegó incluso a cambiar el nombre del grupo a Storm Cloud, lo que ayudó a diluir su huella entre el público general y experto.
En 2006 no se recordaba nada de este grupo. Fundido a negro, como en las películas.
Moonlight Maze anticipó el ciberespionaje moderno: persistente, opaco y geopolítico.
El renacer del oso
Siguiendo con la película, volveríamos del fundido a negro y en la pantalla pondría '2016' y mostraría a Thomas Rid trabajando en su libro Rise of the Machines: A Cybernetic History. En sus investigaciones para el libro encontró declaraciones de investigadores de varios países vinculando a Moonlight Maze con otro grupo: Turla, conocido más tarde como Venomous Bear y de el que existen evidencias desde 2006.
Un conjunto de investigadores se enteró de esto, comenzando la difícil búsqueda de aquella leyenda que fue Moonlight Maze intentando vincular las TTP de Turla y sus herramientas con el desaparecido grupo. Finalmente, consiguieron información de Moonlight Maze a través de un administrador de un sistema comprometido en su momento que la atesoraba en un viejo portátil después de tantos años.
Registros, binarios, scripts… todo lo necesario para descubrir que la teoría era cierta. La leyenda seguía viva.
Desde 1999, el grupo fue modificando gradualmente sus herramientas y orientando sus ataques a otros objetivos, de tal forma que fueron camuflándose en un ecosistema vibrante lleno de otros APT Group. Nadie podrá negar que el hallazgo fue digno de película.
Moonlight Maze resurge con Turla: algunas campañas no desaparecen, evolucionan.
Kazuar, el espejo del alma
¿Qué pinta esta historia con Kazuar? Kazuar es un malware detectado en 2017 (aunque parte de su código se remonta a 2005) asociado a Venomous Bear. Se trataba de un troyano programado en .NET disponible en los principales sabores: Windows, Linux y MacOS. Los investigadores que lo descubrieron creen que se trata del reemplazo de Uroburos, un rootkit modular compuesto por dos archivos (controlador y sistema de ficheros cifrado) que se consideró especialmente peligroso por su capacidad de discreción (y que, pese a eso, investigadores de G Data consiguieron detectar y destripar).
Volviendo a Kazuar, fue creado como backdoor y tenía una característica digna de mención: al contrario de lo que hacen otras puertas traseras, que se comunican con un C&C predefinida en su código para obtener instrucciones, Kazuar también podía desplegar un pequeño servidor web con una API para establecer por su cuenta conexiones remotas. De esta manera, el sentido típico de la comunicación de estos troyanos se invierte, dándole al atacante la capacidad para operar contra su víctima a discreción, evitando controles de conexiones salientes (que suele ser lo típico a controlar para detectar backdoors) y permitiendo al atacante desplazar su infraestructura con facilidad: si cazan sus servidores C&C no pierde acceso a sus víctimas.
Kazuar tuvo mucho éxito contra instituciones europeas gubernamentales y de investigación, comprometiendo miles de sistemas entre más de 100 países. También golpeó, y fuerte, a objetivos del sector de la Defensa en toda Europa del Este, incluida Ucrania. En este caso centraron su tiro en servidores Exchange con un vector de entrada tan 'sencillo' como un phishing con un fichero XLSM (Excel para macros) adjunto. Desde ahí desplegaba todo su veneno en Powershell suplantando al actualizador del navegador Firefox y dejando disponible Kazuar, entre otras cosas.
Kazuar revela un actor más adaptable, sigiloso y resiliente.
¿Por qué es Kazuar el espejo del alma de Moonlight Maze-Turla-Venomous Bear? ¿Por qué hemos hablado de Kazuar en pasado? Porque después de casi una década funcionando de una manera, de repente se ha transformado (más bien lo ha transformado el oso venenoso) en una botnet P2P. El equipo que Microsoft que analizó esta variante se encontró con que ahora Kazuar emplea tres módulos distintos:
- Kernel: que ejecuta la coordinación central y las comunicaciones. Cabe destacar que la red nombra un líder dentro del mismo entorno o segmento de red (es decir, es un proceso interno y autónomo). El líder es el encargado de mantener la comunicación externa y traslada al resto de máquinas infectadas la información (y viceversa), con lo que se minimiza la actividad entrante y saliente en los sistemas infectados.
Merece la pena detenerse un poco en cómo funciona la elección del líder. Cada sistema infectado revisa los siguientes condicionales:
- No hay un líder en la red
- El líder envía un mensaje interno comunicando que va a apagarse o cerrar sesión
- Si el proceso de elección de líder que se está ejecutando falla, se vuelve a lanzar el proceso de elección.
Si alguno de estos condicionales es positivo, se lanzaría el proceso de elección de líder. Éste se ejecuta a través de Mailslot y el líder se elige en función del tiempo que el módulo de kernel lleva en ejecución, dividido entre el número de interrupciones en su funcionamiento (reinicios, cierres…).
El primer clasificado en base a esa puntuación se autoproclama líder ante los demás y les solicita que cambien a modo Silence.
Vista general de la elección del liderazgo del kernel donde se ve cómo se deja un único líder activo y los otros kernel quedan en modo “silence”. Fuente: Microsoft
- Bridge: es un proxy de comunicaciones. Transmite tráfico entre el kernel líder y la infraestructura externa. Esto implica que sólo el módulo Bridge es quien ejecuta esta tarea. La comunicación interna está basada en IPC (comunicación entre procesos) por lo que no llama la atención.
- Worker: es el espía. Registra pulsaciones, capturas de pantalla, archivos y metadatos del sistema de ficheros, datos de correo electrónico incluyendo descargas de Outlook… El equipo de Microsoft registró 40 tipos distintos de información que recopila el worker.
Mapa de mensajería de módulos de alto nivel donde se observa cómo el líder coordina las tareas de los workers y utiliza el módulo bridge para las comunicaciones externas. Fuente: Microsoft
Como el propio APT Group que lo creó y posteriormente modificó, Kazuar es versátil y con capacidad de evolución. Además, también ha heredado la capacidad para ocultarse, puesto que tiene habilidad para eludir el AMSI (interfaz de análisis de malware), el ETW (sistema de seguimiento de eventos) y la WLDP (política de bloqueo) de Windows.
A la vista de este cambio en su catálogo de herramientas, y el éxito cosechado durante tantos años, no parece que el laberinto de luz de luna deje de existir jamás.
En el artículo de Microsoft Kazuar: Anatomy of a nation-state botnet se puede obtener más información sobre esta amenaza, así como medidas de mitigación e indicadores de compromiso.
✅ Para recibir alertas de nuestros expertos en Ciberseguridad, suscríbete a nuestro canal en Telegram: https://t.me/cybersecuritypulse
Foto de Daoud Abismail / Unsplash.
